logo标签列表

是否可能只使用C#编程生成X509证书?

c#x509certificatebouncycastlepkix509
40
我们正在尝试使用C#和BouncyCastle库编程生成X509证书(包括私钥)。我们尝试使用Felix Kollmann的此示例中的一些代码,但证书的私钥部分返回null。以下是代码和单元测试:
using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;

namespace MyApp
{
    public class CertificateGenerator
    {
        /// <summary>
        /// 
        /// </summary>
        /// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
        /// <param name="subjectName"></param>
        /// <returns></returns>
        public static byte[] GenerateCertificate(string subjectName)
        {
            var kpgen = new RsaKeyPairGenerator();

            kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));

            var kp = kpgen.GenerateKeyPair();

            var gen = new X509V3CertificateGenerator();

            var certName = new X509Name("CN=" + subjectName);
            var serialNo = BigInteger.ProbablePrime(120, new Random());

            gen.SetSerialNumber(serialNo);
            gen.SetSubjectDN(certName);
            gen.SetIssuerDN(certName);
            gen.SetNotAfter(DateTime.Now.AddYears(100));
            gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
            gen.SetSignatureAlgorithm("MD5WithRSA");
            gen.SetPublicKey(kp.Public);

            gen.AddExtension(
                X509Extensions.AuthorityKeyIdentifier.Id,
                false,
                new AuthorityKeyIdentifier(
                    SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
                    new GeneralNames(new GeneralName(certName)),
                    serialNo));

            gen.AddExtension(
                X509Extensions.ExtendedKeyUsage.Id,
                false,
                new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));

            var newCert = gen.Generate(kp.Private);
            return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
        }
    }
}

单元测试:

using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;

namespace MyApp
{
    [TestClass]
    public class CertificateGeneratorTests
    {
        [TestMethod]
        public void GenerateCertificate_Test_ValidCertificate()
        {
            // Arrange
            string subjectName = "test";

            // Act
            byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);

            // Assert
            var cert = new X509Certificate2(actual, "password");
            Assert.AreEqual("CN=" + subjectName, cert.Subject);
            Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
        }
    }
}
2个回答
32
只是想澄清,X.509证书不包含私钥。单词“证书”有时被误用来表示证书和私钥的组合,但它们是两个不同的实体。使用证书的整个重点是将其发送得更加公开,而不发送必须保密的私钥。一个X509Certificate2对象可能与其关联私钥(通过其PrivateKey属性),但那只是这个类设计的一部分便利性。
在您的第一个BouncyCastle代码示例中,newCert实际上只是证书,DotNetUtilities.ToX509Certificate(newCert)仅由证书构建。
考虑到PKCS#12格式要求存在私钥,我对以下部分甚至能够工作感到非常惊讶(考虑到您正在调用它的证书不能可能知道私钥):
.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
    "password");

(gen.Generate(kp.Private)使用私钥签署证书,但不将私钥放入证书中,这是没有意义的。)

如果您希望您的方法同时返回证书和私钥,您可以选择:

  • 返回一个已初始化了PrivateKey属性的X509Certificate2对象
  • 构建一个PKCS#12存储并返回它的byte[]内容(就像它是一个文件一样)。 在您发送的链接中的第3步 (镜像) 解释了如何构建PKCS#12存储。

仅返回X.509证书本身的byte[](DER)结构将不包含私钥。

如果您的主要关注点(根据测试用例)是检查证书是否由RSA密钥对构建,则可以检查其公钥类型。

+1,非常好的解释。你看过PKCS#12规范吗?它真的很难懂!我认为使用PKCS#12几乎可以实现任何事情;您不需要拥有私钥。通常,PKCS#12用于保存私钥和相关证书,但还有其他可能性。 - President James K. Polk
4
第三步提供的链接似乎无法访问。幸运的是,archive.org 仍然有这个内容:http://web.archive.org/web/20100504192226/http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx - Kyle
@Zenox,随意编辑我的答案并替换它,这也应该给你一些积分。 - Bruno
我认为这个主题/问题很棒,因为如果您想在WCF中启用消息安全性,并且您不想或无法在机器上部署证书,则创建“内存一次性证书”将是一种实现安全性的好方法,而无需根证书。这里有一个链接,指向一个使用Windows API创建证书的人。我没有尝试过,但也许它可以帮助某人实现他的目标:http://www.vtrifonov.com/2012/10/securing-wcf-service-with-self-signed.html - Michael
一个X509Certificate2对象可能与私钥相关联(通过其PrivateKey属性),但这只是该类设计的一部分方便。哇,这解决了一些问题。 - granadaCoder
1
如何使用Bouncy Castle签署证书,或者使用Bouncy Castle制作CA签名的证书。 - crypt
7
我意识到这是一个旧帖子,但我发现了这些优秀的文章,它们详细介绍了该过程:

从.NET使用Bouncy Castle

2
对于这样的主题,元数据是您的朋友:https://meta.stackexchange.com/questions/8231/are-answers-that-just-contain-links-elsewhere-really-good-answers - MatthewMartin
2
这是一个好的、可工作的例子。然而,它已经过时了。一些函数像 SetSignatureAlgorithm() 显示了一个弃用警告。可能有人有更新吗? - FranzHuber23
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接